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Regelingverwerken en controleren computergebruik waterschap 
Vechtstromen 

Kenmerk: B2015/u925 

Het dagelijks bestuur van het waterschap Vechtstromen; 
gezien het voorstel van 3 november 2015; 

gelet op het bepaalde in de Wet bescherming persoonsgegevens; 

gelet op de instemming van de ondernemingsraad als bedoeld in artikel 27, lid 1, onder I, van de Wet 
op de ondernemingsraden; 

BESLUIT 

vast te stellen de Regeling verwerken en controleren computergebruik waterschap Vechtstromen. 

Artikel 1 Begripsbepalingen 

In dit reglement wordt verstaan onder: 

a. waterschap: het waterschap Vechtstromen; 

b. verantwoordelijke: de secretaris-directeur van het waterschap Vechtstromen; 

c. gebruiker: medewerker in dienst van het waterschap of persoon die in opdracht van het waterschap 
betaalde of niet-betaalde werkzaamheden verricht; 

d. computergebruik: ieder gebruik van door het waterschap ter beschikking gestelde faciliteiten voor 
wat betreft toegang tot internet, intranet en e-mail; 

e. onrechtmatig computergebruik dan wel misbruik: computergebruik zoals verwoord in artikel 2b 
of in strijd met andere wet- en regelgeving of een inbreuk op een recht. 


Artikel 2 Reikwijdte 

Deze regeling is van toepassing op het verwerken van persoonsgegevens over het computergebruik 

door gebruikers en geeft de wijze aan waarop controle op dit computergebruik plaatsvindt. 

Artikel 2a Computergebruik 

1. De faciliteiten voor computergebruik worden aan de gebruiker voor zakelijk gebruik beschikbaar 
gesteld. Gebruik is derhalve verbonden met de werkzaamheden zoals die voortvloeien uit de 
functie. 

2. Beperkt persoonlijk gebruik is evenwel toegestaan, mits dit niet storend is voor deze werkzaam¬ 
heden en dit geen onrechtmatig computergebruik dan wel misbruik in de zin van artikel 2b oplevert. 

Artikel 2b Onrechtmatig computergebmik dan wel misbruik 

1. Het is de gebruiker niet toegestaan de faciliteiten voor computergebruik te gebruiken voor het 
bezoeken van sites, downloaden van bestanden of verzenden van berichten met een pornografi¬ 
sche, (seksueel) intimiderende, racistische, discriminerende, beledigende of aanstootgevende 
inhoud dan wel kunnen aanzetten tot haat of geweld. 

2. Evenmin is het toegestaan illegale software te downloaden, te gebruiken ofte verzenden dan wel 
zonder voorafgaand overleg bestanden te verzenden ofte downloaden waarvan gebruikers rede¬ 
lijkerwijs moeten aannemen dat deze te omvangrijk zijn. 

3. Opslag en verwerking van onrechtmatig verkregen informatie of informatie waarvan het bezit 
strafbaar is, is niet toegestaan. 

Artikel 3 Doel van de verwerking 

Het verwerken van persoonsgegevens over het computergebruik door gebruikers, bedoeld in artikel 2, 

vindt plaats met als doel: 

a. het verkrijgen van inzicht in de mate van het computergebruik door gebruikers; 

b. de controle op en het voorkomen van onrechtmatig computergebruik dan wel misbruik; 

c. het beveiligen van het systeem en het netwerk. 


Artikel 4 Categorie van personen waarvan gegevens worden verwerkt 

Het verwerken van persoonsgegevens over het computergebruik bevat uitsluitend gegevens over ge¬ 
bruikers. 

Artikel 5 Verantwoordelijkheden 
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1. Door of vanwege de verantwoordelijke worden passende technische en organisatorische maatre¬ 
gelen getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van on¬ 
rechtmatige verwerking. 

2. Door de verantwoordelijke worden één of meerdere systeembeheerders aangewezen die belast 
zijn met het beheer, de opslag, verwijdering en vernietiging van gegevens als bedoeld in artikel 
6 en . 

Artikel 6 Controle 

1. Controle van persoonsgegevens over het computergebruik vindt slechts plaats in het kader van 
in artikel 3 genoemde doelen. Deze doeleinden stellen beperkingen aan de omvang en wijze van 
controle. 

2. De controle vindt, onverminderd artikel 1 , plaats op het niveau van getotaliseerde gegevens die 
niet herleidbaar zijn tot een identificeerbaar persoon. 

3. Controle ter verkrijging van inzicht in de mate van computergebruik wordt beperkt tot de verkeers¬ 
gegevens (tijd, hoeveelheid, omvang). 

4. Controle ter voorkoming van onrechtmatig computergebruik dan wel misbruik wordt zo beperkt 
mogelijk gehouden, in die zin dat deze in redelijke verhouding staat tot het doel waarvoor deze 
wordt aangewend. Bovendien vindt de controle steekproefsgewijs plaats. 

5. Controle in het kader van het beveiligen van het systeem en het netwerk voor het tegengaan van 
virussen en andere schadelijke programma's vindt op geautomatiseerde wijze plaats. 

Artikel 7 Onderzoek 

1. Indien er een redelijke verdenking van onrechtmatig computergebruik dan wel misbruik bestaat, 
kan de direct leidinggevende van de gebruiker de verantwoordelijke verzoeken een gericht onder¬ 
zoek in te stellen. 

2. Het onderzoek beperkt zich tot verkeersgegevens van het computergebruik. Alleen bij zwaarwe¬ 
gende redenen vindt controle op de inhoud plaats. 

3. De leidinggevende licht de gebruiker of gebruikers vooraf in over het onderzoek, bedoeld in het 
eerste lid, tenzij dit het onderzoek frustreert. In dit laatste geval wordt de gebruiker na afloop van 
het onderzoek ingelicht. 

4. Het onderzoeken van het computergebruik, bedoeld in het eerste lid, van leden van de onderne¬ 
mingsraad of georganiseerd overleg en medewerkers met een vertrouwensfunctie heeft geen 
betrekking op gegevens die bestaan uit de inhoud van e-mailberichten of de bijlagen daarbij. 

Artikel 8 Sancties 

1. Onrechtmatig computergebruik dan wel misbruik door een gebruiker in dienst bij het waterschap 
kan leiden tot disciplinaire maatregelen als bedoeld in de Sectorale Arbeidsvoorwaardenregelingen 
Waterschapspersoneel (SAW). 

2. Onrechtmatig computergebruik dan wel misbruik door een gebruiker die in opdracht van het 
waterschap betaalde of onbetaalde werkzaamheden verricht kan resulteren in opzegging van de 
overeenkomst dan wel beëindiging van de samenwerking. 

Artikel 9 Verslag 

De verantwoordelijke brengt jaarlijks verslag uit aan het dagelijks bestuur van de wijze waarop gebruik 

is gemaakt van de mogelijkheid tot controle genoemd in artikel 6 en de mogelijkheid tot onderzoek 

genoemd in artikel 7 in het voorgaande kalenderjaar. 

Artikel 10 Verstrekken 

1. De gegevens, bedoeld in artikel 6, worden slechts verstrekt aan degenen die belast zijn met of 
leiding geven aan de in artikel 7 bedoelde controle of die daarbij noodzakelijk zijn betrokken. 

2. Verstrekking aan derden geschiedt slechts met het oog op het behandelen van geschillen. 

Artikel 11 Opslag, verwijdering en vernietiging 

1. De gegevens, bedoeld in artikel 6, worden maximaal zes maanden bewaard. 

2. Indien er een redelijke verdenking bestaat van onrechtmatig computergebruik dan wel misbruik 
worden de gegevens bewaard zolang dit in het kader van het onderzoek, bedoeld in artikel 7, 
noodzakelijk is. Zodra dit onderzoek is afgerond, worden de gegevens verwijderd. 

3. Indien de systeembeheerder om technische redenen gegevens, als bedoeld in artikel 6 niet kan 
verwijderen, wordt onder verwijderen verstaan het niet meer gebruiken of verstrekken van deze 
gegevens. 

Artikel 12 Recht gebruikers 

1. Op schriftelijk verzoek wordt door de verantwoordelijke aan de gebruiker een overzicht verschaft 
van de hem betreffende persoonsgegevens die worden verwerkt. 
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2. De medewerker kan de verantwoordelijke schriftelijk verzoeken zijn persoonsgegevens te verbe¬ 
teren, aan te vullen, te verwijderen of af te schermen indien 

a. deze feitelijk onjuist zijn; 

b. voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn; 

c. dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. 


Het verzoek bevat de aan te brengen wijzigingen. 

3. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het in het tweede 
lid genoemde verzoek schriftelijk of, dan wel in hoeverre, hij daaraan voldoet. Een weigering is 
met redenen omkleed. Een beslissing op een dergelijk verzoek geldt als een besluit in de zin van 
artikel 1:3, Algemene wet bestuursrecht. 

4. De verantwoordelijke draagt er zorg voor dat een beslissing tot verbetering, aanvulling, verwijdering 
of afscherming zo spoedig mogelijk wordt uitgevoerd. 


Artikel 13 Onvoorziene omstandigheden 

Indien er zich situaties voordoen waarin deze regeling niet voorziet, beslist de verantwoordelijke. 
Hierbij zal eerst de ondernemingsraad worden geïnformeerd en gehoord. 

Artikel 14 Slotbepalingen 

1. Dit besluit treedt in werking op de eerste dag na die van haar bekendmaking. 

2. Dit besluit kan worden aangehaald als Regeling verwerken en controleren computergebruik wa¬ 
terschap Vechtstromen. 

Aldus vastgesteld in de vergadering van 10 november 2015 te Almelo. 

Het dagelijks bestuur van het waterschap Vechtstromen, 
dr. S.M.M. Kuks, watergraaf drs. O. Dijkstra, secretaris 

ALGEMENE TOELICHTING 

Voorliggende regeling geeft aan op welke wijze het waterschap het computergebruik door gebruikers 
kan controleren. Elektronische controle van computergebruik raakt echter het terrein van de bescherming 
van de persoonlijke levenssfeer van de gebruikers. Op het controleren van het gebruik van e-mail en 
internet op de werkplek is de Wet bescherming persoonsgegevens (Wbp) van toepassing. 

Een 'verantwoordelijke' is op grond van de Wbp verplicht om de 'verwerking' van persoonsgegevens 
te melden bij het College bescherming persoonsgegevens (Cbp) voordat hij begint met de verwerking. 
Op grond van het Vrijstellingsbesluit Wbp is controle op het computergebruik vrijgesteld van melden 
mits voldaan wordt aan de vereisten van het Vrijstellingsbesluit Wbp. Deze vereisten houden in dat 
geen andere persoonsgegevens worden verwerkt dan: 

a. gegevens ten behoeve van identificatie van en communicatie (username en toegangscode) met 
de gebruikers binnen het netwerk; 

b. gegevens met betrekking tot bevoegdheden van de gebruikers en de netwerkbeheerders met het 
oog op de aangeboden faciliteiten en diensten van het netwerk; 

c. gegevens met betrekking tot de verrichtingen van de gebruikers en netwerkbeheerders en; 

d. gegevens met betrekking tot elektronische berichten van of voor de gebruikers. 

Daarnaast geldt dat de persoonsgegevens slechts worden verstrekt aan degenen die belast zijn met de 
interne controle en beveiliging (de doeleinden van de verwerking), met dien verstande dat verstrekking 
aan derden slechts geschiedt met het oog op het behandelen van geschillen. Bovendien dienen de 
persoonsgegevens uiterlijk zes maanden nadat ze zijn verkregen te worden verwijderd dan wel twee 
jaar nadat het dienstverband of de werkzaamheden van betrokkenen ten behoeve van de verantwoor¬ 
delijke zijn beëindigd. 

ARTIKELSGEWIJZE TOELICHTING 

Artikel 2 Reikwijdte 

De regeling is van toepassing op het verwerken van persoonsgegevens inzake het computergebruik. 
De regeling geldt voor alle gebruikers binnen het waterschap: ambtenaren en personen die (betaald 
of niet-betaald) werkzaamheden voor het waterschap verrichten, anders dan in ambtelijk dienstverband. 
De regeling is niet van toepassing op politieke ambtsdragers. 

Artikel 2a Computergebruik 

De door Vechtstromen beschikbaar gestelde computer, tablet of smartphone, netwerken en geboden 
faciliteiten voortoegang tot internet, intranet en het e-mailsysteem worden gebruikt voor het uitoefenen 
van de functie en de daaraan verbonden werkzaamheden en eventuele studie. 
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Er is daarnaast sprake van een zekere 'privetisering' van de werkplek. Dat houdt in dat een bepaalde 
mate van niet-zakelijk e-mail- en internetgebruik onder werktijd niet verboden kan worden. Een werk¬ 
gever is wel bevoegd om regels te stellen omtrent de mate waarin privé-gebruik van e-mail en internet 
is toegelaten. 

Artikel 2b Onrechtmatig computergebruik dan wel misbruik 

Het beschreven onrechtmatig computergebruik of misbruik van door het waterschap gebonden facili¬ 
teiten is, voor alle duidelijkheid, ook niet toegestaan voor privédoeleinden. 

Artikel 3 Doel van de verwerking 

Dit artikel geeft aan voor welke doeleinden gegevens over het computergebruik kunnen worden vast¬ 
gelegd. 

De Wbp bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige 
wijze moeten worden verwerkt. Persoonsgegevens mogen slechts voor welbepaalde, duidelijk omschre¬ 
ven en gerechtvaardigde doeleinden worden verwerkt. Deze doelomschrijving moet nauwkeurig en zo 
volledig mogelijk zijn. Als grondslag van de controle kan doorgaans het gerechtvaardigd belang van 
de organisatie worden aangewezen. De privacybelangen van de medewerkers horen hierbij dan wel 
meegewogen te worden. De aard, omvang en vorm van de controlemaatregelen dienen dus in een re¬ 
delijke verhouding tot het doel van de controle te staan (proportionaliteit). Tevens geldt dat de gebruikte 
controlemiddelen niet meer inbreuk mogen maken op de belangen van de medewerker dan strikt 
noodzakelijk is (subsidiariteit). 

Artikel 4 Categorie van personen waarvan gegevens worden verwerkt 

Voor alle gebruikers is het van belang dat zij zich ervan bewust zijn dat door hen verzonden en ontvangen 
e-mailberichten niet alleen geregistreerd worden, maar ook deel kunnen uitmaken van het onderzoek 
naar het computergebruik van anderen zonder dat zij dat weten. Men kan immers afzender of ontvanger 
zijn van een e-mail- bericht aan een medewerker wiens computergebruik onderzocht wordt. 

Artikel 5 Verantwoordelijkheden 

Lid 1 

Met 'passende' maatregelen wordt uitgedrukt dat alle maatregelen moeten worden getroffen die in 
redelijkheid kunnen worden gevergd. Deze maatregelen garanderen, rekening houdend met de stand 
van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de 
risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatre¬ 
gelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te 
voorkomen. 

Lid 2 

Een of meer systeembeheerders zijn met het beheer van de bestanden belast. De systeembeheerder 
heeft uit hoofde van zijn functie toegang tot alle gegevens in het computernetwerk. De functie van 
systeembeheerder dient met de nodige waarborgen te worden omgeven. De systeembeheerder moet 
zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, geheim dient te houden. 
Die verplichting lijdt uitzondering indien enig wettelijk voorschrift hem tot mededeling verplicht of uit 
zijn taak de noodzaak tot mededeling voortvloeit. De systeembeheerder is uiteraard in beginsel niet 
bevoegd tot het lezen van documenten of e-mail of het meekijken met het internetgebruik van de me¬ 
dewerkers zonder dat daar een bijzondere aanleiding voor is. 

Artikel 6 Controle 

Lid 3 

Voor het verkrijgen van inzicht in de mate van computergebruik kan de controle beperkt blijven tot 
verkeersgegevens. Kennisneming van de inhoud is niet noodzakelijk. 

Lid 4 

De controle dient in redelijke verhouding te staan tot de belangen van de medewerker en de gebruikte 
middelen mogen niet een verdergaande inbreuk maken op die belangen dan strikt noodzakelijk is 
(proportionaliteit en subsidiariteit). Steeds zal hiertoe een belangenafweging moeten plaatsvinden. Het 
doel rechtvaardigt dus niet een continue controle en de daarmee gepaard gaande verregaande inbreuk 
op de persoonlijke levenssfeer van de werknemer. 

Lid 5 

Vanuit beveiligingsoogpunt is het noodzakelijk om e-mail- en internetgebruik te controleren. Het kan 
dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke pro¬ 
gramma's. Dat gebeurt door middel van een geheel geautomatiseerde controle van de inkomende be¬ 
richten (inclusief bijlagen). Indien een besmet bericht gevonden wordt, wordt dit op een aparte locatie 
bewaard voor nader onderzoek en eventuele herstelwerkzaamheden. Uiteraard wordt hierbij geen on- 
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derscheid gemaakt in zakelijke en privé-mail. Ook vindt een geautomatiseerde controle van de inkomende 
internetcontent plaats. 

Artikel 7 Onderzoek 

Bij een redelijke verdenking van onrechtmatig computergebruik of misbruik is rapportage op persoons- 
niveau noodzakelijk en dan ook toegestaan. 

Voordat besloten wordt om over te gaan tot onderzoek van het computergebruik, ligt het voor de hand 
dat de betrokken leidinggevende eerst langs andere weg heeft geprobeerd te komen tot een correcte 
computergebruik. De in te zetten middelen zijn uiteraard afhankelijk van de omstandigheden. Het kan 
bijvoorbeeld gaan om voorlichting in het algemeen, het specifiek onder de aandacht brengen van de 
gedragsregels bij bepaalde betrokkene(n) of om het geven van een waarschuwing (direct aanspreken 
op vertoond verdrag) aan een gebruiker dat er sprake is van onrechtmatig computergebruik dan wel 
misbruik. 

Artikel 9 Verslag 

Het heeft de voorkeur dat het uitbrengen van het verslag plaatsvindt in het voorjaar, volgend op het 
kalenderjaar waarover verslag wordt uitgebracht. 

Artikel 10 Verstrekken 

Omwille van de duidelijkheid is opgenomen aan wie de verwerkte persoonsgegevens als gevolg van 
de controle op het computergebruik worden verstrekt. 

Het betreffen in ieder geval degenen die belast zijn met het systeem-, gegevensbeheer of applicatiebeheer 
of daarbij noodzakelijk zijn betrokken. Maar ook de secretaris-directeur van het waterschap als verant¬ 
woordelijke en de leidinggevende ten aanzien van het kunnen verzoeken om een inhoudelijk onderzoek 
als bedoeld in artikel 7. 

Als er sprake is van een (arbeidsrechtelijk) geschil, waarbij de verwerkte persoonsgevens als gevolg 
van deze regeling een rol spelen, zullen de gegevens ook worden verstrekt aan derden die een rol 
spelen in het geschil, bijvoorbeeld een bezwaarschriftencommissie, rechter of extern adviseur. 

Artikel 11 Opslag, verwijdering en vernietiging 

Het is in het algemeen niet nodig om de persoonsgegevens lang te bewaren. De standaardtermijn is 
daarom zes maanden. In het geval van een redelijke verdenking van onrechtmatig computergebruik 
dan wel misbruik, worden de gegevens uit die zes maanden bewaard, zolang dit in het kader van nader 
onderzoek en eventueel te treffen maatregelen jegens een gebruiker noodzakelijk is. Zodra een nader 
onderzoek is afgerond en dit niet leidt tot maatregelen jegens een medewerker worden de gegevens 
verwijderd. 

Bepaalde gegevens kunnen soms om technische redenen niet worden verwijderd. Van het e-mailsysteem 
worden bijvoorbeeld back-ups gemaakt die in geval van nood teruggezet kunnen worden. Deze back- 
ups kunnen niet zonder meer gewist worden. Het is ook niet mogelijk om binnen een dergelijke back- 
up een individueel e-mailbericht te verwijderen. De bedoelde gegevens mogen in deze gevallen niet 
meer worden verstrekt (verwerkt). 
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